Account di Default come Vettore d'Attacco: Default Accounts (T1078.001)

L'obiettivo in un engagement red team è dimostrare quanto sia banale sfruttare credenziali di default rimaste invariate dopo il deployment. La prima fase è l'enumerazione: identificare servizi esposti che potrebbero ancora usare credenziali di fabbrica.

Per le interfacce web di appliance di rete e dispositivi IoT, Hydra (open source) è lo strumento classico per il brute-force mirato. Partendo da una wordlist di credenziali di default — come quella inclusa nel progetto SecLists (open source) di Daniel Miessler — si può testare un'interfaccia HTTP:

hydra -L default_users.txt -P default_passwords.txt http-get /management

Su protocolli SSH, la stessa logica si applica per verificare se l'account root accetta ancora la password di fabbrica:

hydra -l root -P default_passwords.txt ssh

Per ambienti Windows, la simulazione dell'attacco di Magic Hound è particolarmente istruttiva. L'attaccante ha attivato il DefaultAccount — un account dormiente presente in ogni installazione Windows — con un semplice comando PowerShell:

powershell.exe /c net user DefaultAccount /active:yes

Dopo l'attivazione, la connessione RDP al server Exchange diventa triviale. In laboratorio, si può verificare la riuscita dell'operazione con:

net user DefaultAccount

controllando che il campo "Account active" risulti "Yes".

Per gli ambienti VMware, il vettore sfruttato da UNC3886 merita attenzione particolare. L'account vpxuser viene creato automaticamente su ogni host ESXi connesso a vCenter, con password ruotata periodicamente ma memorizzata in chiaro nel database PostgreSQL di vCenter. Con accesso al vCenter, un red teamer può estrarre queste credenziali e autenticarsi direttamente sull'host ESXi via SSH o tramite API.

Nmap (open source) consente di identificare rapidamente servizi con credenziali di default tramite script NSE dedicati:

nmap --script http-default-accounts -p 80,443,8080

Per le condivisioni di rete Windows, la tecnica usata da HyperStack — connessione a share IPC$ con credenziali di default — si replica con:

net use \\\IPC$ /user:Administrator

Un passaggio spesso trascurato è la verifica delle telecamere IP e dei dispositivi OT. Shodan (freemium) permette di identificare dispositivi esposti e, incrociando i risultati con database pubblici di credenziali di default come CIRT.net, verificare se le combinazioni factory sono ancora attive — esattamente il vettore sfruttato da Ember Bear.

La detection dell'abuso di account di default è insidiosa: si tratta di login tecnicamente legittimi, effettuati con credenziali valide su account nativi del sistema. La chiave è il contesto — chi usa quell'account, quando, da dove e per fare cosa.

Windows — Log di Security. Il punto di partenza sono gli eventi di logon nel canale WinEventLog:Security. Gli EventCode 4624 (logon riuscito) e 4625 (logon fallito) con Target Username uguale a "Administrator", "Guest" o "DefaultAccount" devono generare alert quando si verificano fuori dalle finestre di manutenzione pianificata. Attenzione critica: molte organizzazioni rinominano l'account Administrator, ma il SID rimane S-1-5-500. La detection basata sul SID anziché sul nome utente è decisamente più robusta.

Una regola efficace nel SIEM filtra gli EventCode 4624 con LogonType 10 (RDP) o LogonType 3 (rete) dove il SID target corrisponde a un account built-in, escludendo gli IP dei sistemi di gestione noti. Questo è esattamente il pattern della campagna HomeLand Justice, dove l'account Administrator built-in è stato usato per movimento laterale via RDP e Impacket.

Linux — Auditd e SSH. I log auditd:USER_LOGIN catturano i login SSH dell'account root. L'alert deve scattare quando il metodo di autenticazione è password anziché chiave pubblica — un segnale che le best practice non sono applicate. La configurazione di auditd per monitorare le chiamate PAM è fondamentale:

-w /var/log/auth.log -p wa -k default_account_login

Gli ambienti che usano SSH esclusivamente con chiavi dovrebbero trattare qualsiasi login password-based su root come anomalia ad alta priorità.

Cloud e Identity Provider. Su AWS, i log CloudTrail devono monitorare l'uso dell'account root. Qualsiasi evento di tipo ConsoleLogin o modifica IAM da parte del root account merita un alert immediato, poiché le best practice AWS prescrivono di non utilizzare mai l'account root per operazioni quotidiane. L'anomalia geografica aggiunge un secondo livello: autenticazioni da regioni inattese amplificano la severità.

ESXi. I log esxi:auth rivelano accessi degli account root e vpxuser. La detection deve distinguere tra connessioni provenienti dagli IP legittimi del vCenter — che sono normali per vpxuser — e connessioni da IP inattesi, che indicano compromissione delle credenziali di servizio come nel caso di UNC3886.

Dispositivi di rete. I log syslog di router, switch e firewall vanno monitorati per login con username di default (admin, cisco, ubnt). In particolare, accessi via Telnet o HTTP (non HTTPS) a interfacce di gestione sono indicatori ad alta confidenza, poiché nessun flusso amministrativo legittimo dovrebbe usare protocolli in chiaro.

Per la riduzione dei falsi positivi, è essenziale mantenere una whitelist aggiornata degli IP di gestione autorizzati e delle finestre di manutenzione programmate.

L'analisi forense dell'abuso di account di default segue un percorso che parte dall'autenticazione iniziale e si ramifica in movimento laterale e persistenza. Gli artefatti sono distribuiti su più layer e la correlazione temporale è tutto.

Artefatti Windows. I log Security sono la fonte primaria. Gli EventCode 4624 con LogonType 10 (RemoteInteractive) documentano le sessioni RDP — il pattern della campagna HomeLand Justice, dove il built-in Administrator si è autenticato su più server Exchange. Ogni evento 4624 va correlato con l'EventCode 4672 (assegnazione privilegi speciali), che conferma se la sessione ha ottenuto token elevati.

Per il DefaultAccount attivato da Magic Hound, la timeline deve includere l'EventCode 4722 (account abilitato) seguito dal 4724 (reset password) se presente. Il comando PowerShell usato per l'attivazione lascia tracce nei log PowerShell/Operational (EventCode 4104 — Script Block Logging) e nell'EventCode 4688 (creazione processo) se il command line auditing è attivo.

I file di registro SAM contengono lo stato degli account locali. Con uno strumento come RegRipper (open source) si possono estrarre i metadati degli account built-in dal file SAM offline:

regripper -r SAM -p samparse

L'output mostra data di ultimo login, conteggio accessi e se l'account è abilitato — informazioni cruciali per stabilire quando un account dormiente è stato riattivato.

Artefatti di rete e lateral movement. L'uso di condivisioni IPC$ con credenziali di default, come nel caso di HyperStack, genera artefatti nei log SMB. Su Windows, gli EventCode 5140 (accesso a share di rete) e 5145 (controllo accesso su oggetto condiviso) documentano ogni connessione a share. La correlazione dell'IP sorgente con i timestamp di autenticazione ricostruisce il percorso di lateral movement.

Artefatti ESXi. Il file /var/log/auth.log su host ESXi registra ogni autenticazione di vpxuser e root. In un'indagine su compromissione in stile UNC3886, la priorità è isolare le autenticazioni vpxuser provenienti da IP diversi dal vCenter legittimo. Il file /var/log/vobd.log può contenere tracce aggiuntive delle operazioni eseguite post-autenticazione.

Artefatti Linux e IoT. Per i dispositivi compromessi tramite credenziali factory — come le telecamere IP nel caso di Ember Bear — i log di autenticazione in /var/log/auth.log o /var/log/secure sono il punto di partenza. Molti dispositivi embedded hanno logging limitato; in questi casi, il traffico di rete catturato (pcap) diventa la fonte primaria, cercando sessioni SSH o HTTP authenticate verso le interfacce di gestione.

Database e applicazioni. L'infezione di Stuxnet attraverso password hardcoded nel database WinCC di Siemens ricorda che i log applicativi dei database (SQL Server audit trail, log di accesso SCADA) sono fondamentali. Le connessioni con credenziali hardcoded generano pattern ripetitivi — stessa password, stesso orario, stesso flusso — facilmente identificabili in una timeline strutturata.

L'abuso di account di default non è appannaggio di un singolo profilo threat actor: lo sfruttano gruppi con motivazioni finanziarie, attori statali e operazioni distruttive. Il pattern comune è l'opportunismo — queste credenziali sono frutto di configurazioni dimenticate, non di sofisticate operazioni di credential theft.

FIN13 è un gruppo a motivazione finanziaria che ha sfruttato credenziali di default su interfacce web di gestione — specificamente myWebMethods (WMS) e QLogic — per ottenere l'accesso iniziale. Il profilo suggerisce un attore che predilige il path di minima resistenza: prima di investire in exploit costosi, verifica se la porta d'ingresso è già aperta. Questa tattica si combina tipicamente con ricognizione mirata su interfacce di management esposte su Internet.

UNC3886 rappresenta un livello di sofisticazione superiore. Questo gruppo ha raccolto e utilizzato le credenziali degli account di servizio vCenter, sfruttando l'account vpxuser per accedere agli host ESXi. Il targeting dell'infrastruttura di virtualizzazione indica un attore con obiettivi di lungo periodo — il controllo dell'hypervisor garantisce accesso a tutte le macchine virtuali ospitate, rendendo questa tecnica un moltiplicatore di accesso formidabile.

Magic Hound, attore iraniano, ha dimostrato un approccio pragmatico attivando il DefaultAccount di Windows tramite PowerShell per poi connettersi via RDP a server Exchange. La scelta dell'account DefaultAccount — meno monitorato rispetto ad Administrator — rivela consapevolezza delle pratiche difensive e volontà di operare sotto il radar del SOC.

Ember Bear ha puntato alle telecamere IP esposte su Internet con credenziali di fabbrica invariate, usandole come punto d'ingresso nella rete target. Questo vettore è particolarmente rilevante per il settore governativo e delle infrastrutture critiche, dove i dispositivi IoT spesso sfuggono all'hardening.

La campagna HomeLand Justice (C0038, maggio 2021 – settembre 2022) cristallizza molti di questi pattern. Attori statali iraniani hanno usato l'account Administrator built-in per movimento laterale con RDP e Impacket contro reti governative albanesi, in un'operazione che ha combinato ransomware, wiper e leak di informazioni sensibili. La persistenza di 14 mesi prima dell'attacco distruttivo dimostra come gli account di default forniscano un canale d'accesso silenzioso e duraturo.

Il trend trasversale è chiaro: l'account di default è il primo tentativo, indipendentemente dalla sofisticazione dell'attore. Per i TI analyst, il consiglio operativo è mantenere un inventario aggiornato di tutti gli account predefiniti nell'organizzazione — inclusi quelli creati automaticamente dalle integrazioni tra piattaforme — e correlarli con gli indicatori delle campagne note.

Framework MITRE ATT&CK v16 — T1078.001 (Default Accounts), tattiche TA0001, TA0003, TA0004, TA0005. Campagna C0038 (HomeLand Justice). Gruppi: G1016, G1048, G0059, G1003. Software: S0537, S0603. Mitigazioni: M1032, M1027. Detection: Hydra, Nmap NSE, RegRipper, auditd. Integrato con conoscenza professionale per tool e procedure operative.